elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Concurso Nº1: "Hack My Server"
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 ... 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 [21] 22 23 24 Ir Abajo Respuesta Imprimir
Autor Tema: Concurso Nº1: "Hack My Server"  (Leído 131,071 veces)
opportunity

Desconectado Desconectado

Mensajes: 56



Ver Perfil
Re: Concurso Nº1: "Hack My Server"
« Respuesta #200 en: 9 Mayo 2012, 21:37 pm »

Yahooooooooooo!!!

Ahí va una sqli; para que funcione debeis estar logeados en plesk:

http://********************.net:8880/admin/customer/list?force-show-search=true&searchFilter[resourceUsage][searchText]=overuse%27

Error
Internal error: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '))' at line 6
Message    SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '))' at line 6
File    Pdo.php
Line    238
Type    Zend_Db_Statement_Exception
« Última modificación: 9 Mayo 2012, 21:42 pm por opportunity » En línea

opportunity

Desconectado Desconectado

Mensajes: 56



Ver Perfil
Re: Concurso Nº1: "Hack My Server"
« Respuesta #201 en: 9 Mayo 2012, 21:43 pm »

Aqui hay la leche de vulnerabilidades sqli, xss, ... (buscad por plesk y SO):

http://www.cloudscan.me/

He usado una sqli de aqui (hay más para probar):

http://www.cloudscan.me/2011/09/plesk-parallels-panel-version-psa.html
En línea

adastra
Endless Learner
Ex-Staff
*
Desconectado Desconectado

Mensajes: 885


http://thehackerway.com/


Ver Perfil WWW
Re: Concurso Nº1: "Hack My Server"
« Respuesta #202 en: 9 Mayo 2012, 21:52 pm »


No había leído los últimos mensajes, se creado una cuenta para acceder al panel de control de plesk???
@dimitrix Podrías enviarme la cuenta de ese usuario por privado por favor?
Gracias.
En línea

dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Concurso Nº1: "Hack My Server"
« Respuesta #203 en: 9 Mayo 2012, 22:30 pm »

Lo que interesa es un XSS para hacer envenenamiento de Cookie ¿Alguien tiene alguno que le funcione?
En línea




Belial & Grimoire


Desconectado Desconectado

Mensajes: 559


Tea_Madhatter


Ver Perfil
Re: Concurso Nº1: "Hack My Server"
« Respuesta #204 en: 9 Mayo 2012, 23:33 pm »

en el pagina 13 puse una XSS que encontre en un escaneo, pero no se si no supe utilizarla o no funciona, la hice con wapiti un scanner GPL, este fue el resultado

Código:
http://xx.xxx.xxx.180/?mod=<script>alert(document.cookie)</script>&op=browse
Sage 1.0b3 is vulnerable to Cross Site Scripting (XSS). CA-2000-02.
Referencias:
  http://www.cert.org/advisories/CA-2000-02.html

luego hice un scaneo con nikto y me dio el mismo resultado

Código:
+ /?mod=<script>alert(document.cookie)</script>&op=browse - 200/OK Response could be Sage 1.0b3 is vulnerable to Cross Site Scripting (XSS). http://www.cert.org/advisories/CA-2000-02.html.

por cierto dimitrix, me podrias mandar los datos de plesk porfavor
En línea

.                                 
dimitrix


Desconectado Desconectado

Mensajes: 4.847



Ver Perfil WWW
Re: Concurso Nº1: "Hack My Server"
« Respuesta #205 en: 9 Mayo 2012, 23:47 pm »

?mod=<script>alert(document.cookie)</script>&op=browse

No es vulnerable, lo acabo de probar, ahora mismo te mando la pass.
En línea




s4dr10s

Desconectado Desconectado

Mensajes: 10



Ver Perfil
Re: Concurso Nº1: "Hack My Server"
« Respuesta #206 en: 10 Mayo 2012, 01:03 am »

En esta pagina se encuentra todo lo que se puede hacer para el plesk 10.2 teniendo una cuenta que no solo muestra SQLi ni XSS tambien muestra XML injection,SSL cookie without secure flag set, etc... pero son para RedHat todos los procedimiento pero yo creo que debe ser muy parecido, pero no puedo hacer nada porque todavia dimitrix no me entrega la cuenta del plesk pero por si alguien quiere intentar aqui esta http://xss.cx/examples/plesk-reports/plesk-redhat-el6-psa-10.2.0-build-1011110331.18-xss-sqli-cwe79-cwe89-javascript-injection-exception-example-poc-report-paros-burp-suite-pro-1.4.1.html  ;D
En línea

vanchopper

Desconectado Desconectado

Mensajes: 22


Ver Perfil
Re: Concurso Nº1: "Hack My Server"
« Respuesta #207 en: 10 Mayo 2012, 05:27 am »

Hola, dimitrix, me podrias mandar la ip,  me gustaria participar.. no tengo muchos conocimientos .. pero lo veo como buena oportunidad para aprender...
 Saludos
En línea

Belial & Grimoire


Desconectado Desconectado

Mensajes: 559


Tea_Madhatter


Ver Perfil
Re: Concurso Nº1: "Hack My Server"
« Respuesta #208 en: 10 Mayo 2012, 18:42 pm »

hola dimitrix

todavia no me llega el pass, espero esten funcionando bien los mensajes privados... bueno, seguire esperando

salu2
En línea

.                                 
maxim_o

Desconectado Desconectado

Mensajes: 186


Ver Perfil
Re: Concurso Nº1: "Hack My Server"
« Respuesta #209 en: 10 Mayo 2012, 20:37 pm »

MMMM pues no será se si será vuestro caso o no....
Pero en un post, dijo que ya no se daría a nadie más la ip, y la cuenta del plesk solo se la daría a la gente que le habia dado ip o algo asi....

Aunque no estoy muy seguro ya que se han llenado muchos post inservibles cuando dijo que las ip, cuentas del plesk o lo que fuera se pidieran POR PRIVADO.
Si no contesta pueden pasar dos cosas....
1.- QUe no se haya conectado... La gente aunque parezca mentira tiene vida aparte del foro...
2.- QUe de momento no de mas ips
3.- Ni idea... pero algun motivo tendrá

Saludos!!
En línea

Páginas: 1 ... 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 [21] 22 23 24 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
GFXMACHINE, presenta "Concurso Por Un Dominio"
Diseño Gráfico
+ enrique ZP 0 2,171 Último mensaje 19 Octubre 2005, 04:24 am
por + enrique ZP
De donde puedo descargar utilidades: "Formas", "Estilos", "Motivos", D
Diseño Gráfico
Ad0nis 2 8,906 Último mensaje 2 Septiembre 2006, 15:48 pm
por Ad0nis
[Ayuda] modificar "start page" en "internet explorer" con "batch"
Scripting
taton 7 17,378 Último mensaje 20 Septiembre 2006, 01:45 am
por taton
recursos visual basic, """"""proceso inmortal"""""
Análisis y Diseño de Malware
Dark4ngel 7 14,264 Último mensaje 3 Noviembre 2011, 10:42 am
por Dark4ngel
Tema: Concurso Nº1 "Hackeame" Ethical Hack « 1 2 3 4 5 »
Hacking
Gtorna 43 33,222 Último mensaje 1 Agosto 2012, 16:32 pm
por it3r
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines